#bootloader

U-Boot FIT 签名验证发现六项严重漏洞

bleepingcomputer.com · ⭐️ 9/10 · 2026-07-11

9/10

Binarly 披露了 U-Boot 的 FIT 签名验证代码中的六个漏洞,其中两个可导致任意代码执行,四个可造成拒绝服务。这些漏洞影响自 2013.07 版本以来的 50 多个稳定版本及大量下游分支。 攻击者可在操作系统启动前执行恶意代码,绕过所有安全措施,甚至植入持久性固件恶意软件。对于支持远程固件更新的 BMC 等系统,利用这些漏洞无需物理接触,对嵌入式及服务器生态系统构成严重威胁。 这些漏洞存在于签名验证完成前处理不可信 FIT 镜像的过程中。通过恶意固件更新可实现远程利用;尽管补丁已被 U-Boot 接受,但各硬件厂商需自行集成并分发修复,老旧设备可能永远无法获得更新。